カスタマーを作成した後、カスタマーがアクセスできる機能オプションと設定を行います。パートナー スーパー ユーザーは、パートナー カスタマーが変更できる設定を選択できます。
新しいカスタマーを作成すると、[カスタマー設定 (Customer Configuration)] ページにリダイレクトされ、カスタマーを設定できます。次の手順を実行して、[設定 (Configuration)] ページに移動することもできます。
手順
- パートナーとして SASE Orchestrator にログインします。
- パートナー ポータルでパートナー カスタマーを選択し、上部のヘッダーで [SD-WAN] > [グローバル設定 (Global Settings)] の順にクリックします。
- 左側のメニューで [カスタマー設定 (Customer Configuration)] をクリックします。次のページが表示されます。
[サービス設定 (Service Configuration)] セクションには次のサービスがあります。
- [SD-WAN]
- [Edge Intelligence]
- [Cloud Web Security]
- [Secure Access]
- [クラウド ハブ (Cloud Hub)]
[オンにする (Turn On)] ボタンをクリックして、各サービスを有効にします。各タイルの右上隅にある縦の省略記号をクリックして、そのサービスをオフにするか設定します。各タイルの右下隅にある [設定 (Configure)] オプションを使用して、それぞれのサービスを設定することもできます。各タイルには、設定サマリが表示されます。
注: [オフにする (Turn off)] オプションを選択すると、確認を求めるポップアップ ウィンドウが表示されます。チェックボックスを選択し、 [サービスをオフにする (Turn Off Service)] をクリックします。- [SD-WAN]:[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。設定し、[更新 (Update)] をクリックします。
オプション 説明 ドメイン (Domain) Orchestrator のシングル サインオン (SSO) 認証を有効にするために使用するドメイン名を入力します。これは、カスタマーに対して Edge Intelligence を有効化するためにも必要となります。 デフォルトの Edge 認証 (Default Edge Authentication) ドロップダウン メニューから、カスタマーに関連付けられている Edge を認証するためのデフォルトのオプションを選択します。
- [証明書は不要 (Certificate Deactivated)]:Edge は認証の事前共有キー モードを使用します。
- [証明書の取得 (Certificate Acquire)]:このオプションはデフォルトで選択されており、Edge にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SASE Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Edge は、SASE Orchestrator への認証および VCMP トンネルの確立に証明書を使用します。
注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
- [証明書が必要 (Certificate Required)]:Edge は PKI 証明書を使用します。システム プロパティ
edge.certificate.renewal.window
を使用して Edge の証明書更新時間枠を変更することができます。
Edge ライセンス 既存の Edge ライセンスが表示されます。[追加 (Add)] をクリックしてライセンスを追加または削除します。 注: ライセンス タイプは、複数の Edge で使用できます。カスタマーのエディションとリージョンに合わせるため、カスタマーにすべてのタイプのライセンスへのアクセス権を付与することをお勧めします。詳細については、 Edge ライセンスを参照してください。カスタマーによるソフトウェアの管理を許可 (Allow Customer to Manage Software) エンタープライズ スーパー ユーザーがエンタープライズで使用可能なソフトウェア イメージを管理できるようにする場合は、このチェックボックスをオンにします。詳細については、『VMware SD-WAN 管理ガイド』のトピック「Edge イメージ管理」を参照してください。 オペレータ プロファイル (Operator Profile) 使用可能なドロップダウン メニューからカスタマーに関連付けるオペレータ プロファイルを選択します。このフィールドは、[カスタマーによるソフトウェアの管理を許可 (Allow Customer to Manage Software)] が選択されている場合は使用できません。オペレータ プロファイルの詳細については、VMware SD-WAN ドキュメントにある『VMware SD-WAN オペレータ ガイド』の「オペレータ プロファイルの管理」セクションを参照してください。 セグメントの最大数 (Maximum Number of Segments) 設定可能なセグメントの最大数を入力します。有効な範囲は 1 ~ 16 です。デフォルト値は [16] です。 - [Edge Intelligence]:[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。設定し、[更新 (Update)] をクリックします。
注: このオプションは、 [SD-WAN] サービスがオンになっている場合にのみ選択できます。
オプション 説明 ドメイン (Domain) Orchestrator のシングル サインオン (SSO) 認証を有効にするために使用するドメイン名を入力します。これは、カスタマーに対して Edge Intelligence を有効化するためにも必要となります。 分析ノード (Analytics Nodes) 分析ノードとしてプロビジョニングできる Edge の最大数を入力します。デフォルトでは、[制限なし (Unlimited)] が選択されています。 機能アクセス (Feature Access) [自己修復 (Self Healing)] チェック ボックスを選択して、Edge Intelligence がパフォーマンス向上のための推奨事項を提供できるようにします。 - [Cloud Web Security]:このサービスは、[Cloud Web Security] ロールが有効になっている [Gateway プール (Gateway Pool)] を選択した場合にのみ使用できます。Cloud Web Security は、SaaS およびインターネット アプリケーションにアクセスするユーザーとインフラストラクチャを保護するクラウド ホスト型サービスです。詳細については、『VMware Cloud Web Security 設定ガイド』を参照してください。[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。
必要なエディションを選択し、[更新 (Update)] をクリックします。[Standard Edition] には、URL フィルタリング、SSL インスペクション、アンチウイルス、認証、基本サンドボックス、インライン CASB の可視化の機能が含まれます。[Advanced Edition] には、URL フィルタリング、SSL インスペクション、アンチウイルス、認証、基本サンドボックス、インライン CASB の可視化と制御、インライン DLP の可視化と制御の機能が含まれます。
- [Secure Access]:このサービスは、[Cloud Web Security] ロールが有効になっている [Gateway プール (Gateway Pool)] を選択した場合にのみ使用できます。Secure Access ソリューションにより、VMware SD-WAN と Workspace ONE サービスが組み合わせられて、世界中のマネージド サービス ノードのネットワークを介して、一貫性のある、最適化されたセキュアなクラウド アプリケーション アクセスが提供されます。詳細については、『VMware Secure Access 設定ガイド』を参照してください。[設定 (Configure)] オプションをクリックすると、次のポップアップ ウィンドウが表示されます。
PoP の最大数を入力し、[更新 (Update)] をクリックします。
- [カスタマー設定 (Customer Configuration)] ページで使用できる追加の設定は次のとおりです。
オプション 説明 グローバル ユーザー契約書の表示 (User Agreement Display) ドロップダウン メニューから次のいずれかを選択します。 - 継承
- 上書きして非表示
- 上書きして表示
注:このフィールドは、システム プロパティsession.options.enableUserAgreements
が [True] に設定されている場合にのみ使用可能です。機能アクセス (Feature Access) 選択した機能へアクセスできるようにします。次のリストのチェック ボックスを 1 つ以上オンにし、当該パートナー カスタマーについて、その機能を有効にします。 - [エンタープライズ認証 (Enterprise Auth)]:デフォルトでは、オペレータのみがエンタープライズの 2 要素認証を有効または無効にできます。このチェック ボックスをオンにすると、エンタープライズ管理者自身が 2 要素認証を設定できます。
- [プレミアム サービスの有効化 (Enable Premium Service)]:利用可能なプレミアム サービスへアクセスできるようにします。このオプションはデフォルトで選択されています。
- [ロールのカスタマイズ (Role Customization)]:エンタープライズ スーパー ユーザーが他のエンタープライズ ユーザーのロール権限をカスタマイズできるようにします。
- [ルートのバックトラック (Route Backtracking)]: デバイスでプレフィックス長の順に最適なルートを選択するのを許可します。
- [製品内のコンテキスト ヘルプ パネル (In-product Contextual Help Panel)]: Orchestrator と統合されているヘルプ パネルへアクセスできるようにします。この機能はデフォルトで無効になっています。パートナー管理者は、パートナー カスタマーに対してこのオプションを有効にする必要があります。
- [Orchestrator のファイアウォールのログ作成を有効にする (Enable Firewall logging to Orchestrator) ]:デフォルトでは、Edge からファイアウォールのログを Orchestrator に送信することはできません。Edge からファイアウォールのログを Orchestrator に送信できるようにするには、このチェック ボックスをオンにします。
- [カスタマイズ可能な QoE (Customizable QoE)]:カスタマーが Edge のアプリケーション カテゴリ (音声、ビデオ、トランザクション) の最小/最大遅延しきい値を設定できるようにします。
- [従来の Orchestrator ユーザー インターフェイスの有効化 (Enable Classic Orchestrator UI)]:カスタマーが Angular Orchestrator ユーザー インターフェイスから従来の Orchestrator ユーザー インターフェイスに切り替えられるようにします。このオプションは、システム プロパティ
session.options.enableClassicOrchestrator
が [True] に設定されている場合にのみ使用可能です。
カスタマーへの管理の委任 (Delegate Management To Customer) パートナー カスタマーが選択したプロパティの設定を変更できるようにします。次の 2 つのプロパティは常にパートナー カスタマーから見えるようになっています。 - [CoS マッピングの有効化 (Enable CoS Mapping)]:ビジネス ポリシーの設定時に CoS マッピングを設定できるようにします。
- [サービスのレート制限を有効化 (Enable Service Rate Limiting)]:ビジネス ポリシーでサービスのレート制限を行えるようにします。
Gateway プール (Gateway Pool) 現在の Gateway プール (Current Gateway Pool) ドロップダウン メニューから Gateway プールを選択します。 このプールの Gateway (Gateways in this Pool) 現在のプール内の Gateway の詳細が表示されます。 パートナー ハンドオフ (Partner Hand Off) このオプションを有効にすると、[ハンドオフの設定 (Configure Hand Off)] セクションが表示されます。詳細については、パートナー ハンドオフの設定を参照してください。 セキュリティ ポリシー (Security Policy) ハッシュ (Hash) デフォルトでは、AES-GCM は認証済みの暗号化アルゴリズムであるため、VPN ヘッダーに認証アルゴリズムが設定されていません。[GCM を無効にする (Turn off GCM)] チェックボックスをオンにすると、ドロップダウン メニューから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。 - SHA 1
- SHA 256
- SHA 384
- SHA 512
暗号化 (Encryption) データを暗号化するアルゴリズムのキー サイズとして [AES 128] または [AES 256] のいずれかを選択します。デフォルトの暗号化アルゴリズム モードは [AES 128] です。 DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされる DH グループは、2、5、14、15、16、19、20、および 21 です。 注:- DH グループ 19、20、および 21 は、リリース 5.2.0 以降で使用できます。
- デフォルト値である DH グループ [14] を使用することをお勧めします。
PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS は無効になっています。 GCM を無効にする (Turn off GCM) [ハッシュ (Hash)] を有効にして、VPN ヘッダーの認証アルゴリズムを選択するには、このチェックボックスをオンにします。 IPsec SA の有効期間 (分) (IPSec SA Lifetime Time(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は [480] 分です。 注: IPsec に低い有効期間値(10 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1,440 分です。デフォルト値は [1,440] 分です。 注: IKE の有効期間に低い値(30 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。セキュアなデフォルト ルートの上書き (Secure Default Route Override) このチェックボックスをオンにすると、Partner Gateway からのセキュアなデフォルト ルート(スタティック ルートまたは BGP ルート)に一致するトラフィックの宛先を、ビジネス ポリシーを使用して上書きできるようになります。 注: Edge でセキュア ルーティングを有効にする方法の詳細については、 パートナー ハンドオフの設定を参照してください。ビジネス ポリシー ルールのネットワーク サービスの設定の詳細については、 『VMware SD-WAN 管理ガイド』の「ビジネス ポリシー ルールのネットワーク サービスの設定」を参照してください。この文書は VMware SD-WAN ドキュメントで入手できます。Edge ネットワーク機能の仮想化 (Edge Network Function Virtualization) Edge NFV このオプションをオンにすると、Edge に VNF をデプロイする機能が有効になります。Edge に 1 つ以上の VNF をデプロイした後は、このオプションを無効にすることはできません。 セキュリティ VNF (Security VNFs) 関連するチェックボックスを選択して、対応するセキュリティ VNF を Edge に展開します。 SD-WAN 設定 (SD-WAN Settings) OFC のコスト計算 (OFC Cost Calculation) 必要なチェックボックスを選択します。 - [分散コスト計算 (Distributed Cost Calculation)]:ルート コスト計算を Edge/Gateway に分散するには、このチェックボックスをオンにします。
注: このオプションは、バージョン 3.4.0 以降の Edge/Gateway でのみ使用できます。
- [NSD ポリシーの使用 (Use NSD Policy)]:このチェックボックスをオンにして、Edge/Gateway へのルート コスト計算に NSD ポリシーを使用します。
注: このオプションは、バージョン 4.2.0 以降の Edge/Gateway でのみ使用できます。
フロー パス計算ごとに複数の DSCP タグ (Multiple-DSCP tags per Flow Path Calculation) フロー ルックアップの一部として DSCP 値を含める場合は、このチェックボックスをオンにします。 注: このフィールドは、システム プロパティsession.options.enableFlowParametersConfig
が [True] に設定されている場合にのみ使用可能です。機能アクセス (Feature Access) [ステートフル ファイアウォール (Stateful Firewall)] または [高度な脅威保護 (Advanced Threat Protection)] チェック ボックスをオンにして、エンタープライズ Edge で有効になっている対応する設定を上書きします。 - [変更の保存 (Save Changes)] をクリックします。
注: [セキュリティ ポリシー (Security Policy)] 設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。